使用 customErrors 关闭 ASP.NET 应用程序的错误提示信息

ASP.NET 应用程序默认会在出现未处理的异常时，向用户显示详细的错误信息，而这些错误信息可能包含敏感信息，所以这可能存在一些安全风险。为了解决这个问题，ASP.NET 提供了一个设置 customErrors 的选项，该选项允许我们自定义应用程序出现错误时的行为，并且可以禁止向用户显示错误信息。下面我们来详细了解一下 customErrors 的使用。

如何设置 customErrors

我们可以通过在 Web.config 文件中设置 customErrors 节点的 mode 属性，来控制应用程序出现错误时的行为。Web.config 文件是 ASP.NET 应用程序的配置文件，它位于应用程序根目录下。

<configuration>
  <system.web>
    <customErrors mode="Off" />
  </system.web>
</configuration>

在上述代码中，我们通过设置 mode 属性为 Off，来关闭了应用程序的错误信息提示。

customErrors 的三种模式

除了 Off 之外，customErrors 还支持两种模式：RemoteOnly 和 On。

Off 模式

在 Off 模式下，应用程序在出现错误时，不仅会记录错误信息到日志中，还会将错误信息完整地发送到客户端，这个行为是非常危险的，因为错误信息可能会包含敏感信息，如果泄露给攻击者，可能会带来很大的安全威胁。

RemoteOnly 模式

在 RemoteOnly 模式下，应用程序只有在远程客户端浏览器发起请求时，才会向客户端发送错误信息。这种模式是 ASP.NET 默认采用的模式，它可以保护应用程序的安全性。

On 模式

在 On 模式下，应用程序会在出现任何错误时，向客户端发送错误信息。这种模式通常被用于测试环境下的应用程序，因为它可以帮助开发人员更容易地找到应用程序中的问题。

小结

在本文中，我们详细介绍了 ASP.NET 应用程序错误处理的自定义选项 customErrors，它可以帮助我们控制应用程序出现异常时的行为，从而保护应用程序的安全性，并且帮助开发人员快速定位问题。